통신사 침해 의심만 있어도 조사…반복 사고시 매출 3% 과징금

서울 시내 한 판매점의 이동통신사 로고

통신사의 침해사고 대응 책임과 제재를 강화하는 정보통신망법 개정안이 국회 본회의에 부의됐다.

침해 의심 정황만으로도 정부가 조사에 착수할 수 있도록 근거가 신설되고 반복 사고 발생시 매출액의 3% 과징금 부과, 신고 지연시 최대 5000만원 과태료 등 규제 강도가 전반적으로 상향됐다.

7일 국회 의안정보시스템에 따르면 이 같은 내용을 담은 정보통신망법 개정안은 최근 국회 법제사법위원회를 통과한 뒤 본회의 상정을 앞뒀다. 올해 통신사 침해사고 이후 발의된 다수 법안을 하나로 묶어 정리한 과방위 대안이다. 여야 모두 기업의 보안 책임 강화를 요구해온 만큼 본회의 통과가 유력하다. 통과된 법안은 공포 후 6개월 뒤 시행된다.

개정안은 사이버 침해사고 관련 정부 조사 권한을 확대하고 사업자 의무 위반에 대한 제재 강화를 골자로 한다. 핵심은 정부의 조사 착수 요건 확대다. 기존에는 침해사고 발생이 확인돼야 조사가 가능했지만, 개정안은 의심되는 정황만으로도 조사를 개시할 수 있도록 했다.

조사 여부는 신설되는 침해사고조사심의위원회가 결정한다. 심의위는 사고 조사의 개시, 민관합동조사단 구성, 현장 조사 필요성 등을 심의 결정한다. 사실상 사이버 침해사고의 1차적 판단권을 갖는다. 심의위 구성·운영에 대한 사항은 대통령령으로 정한다. 업계에서는 심의위 구성과 조사 착수 기준이 모호하고 재량이 과도하다는 우려도 나온다.

제재 수위도 높아졌다. 개정안은 5년 중 고의·중과실로 2차례 침해 사고가 발생할 경우 매출액의 3% 이하 과징금을 부과하는 내용이 신설됐다. 기존에는 개인정보 유출시 개인정보보호법에 따른 과징금만 적용돼, 통신망 안정성 자체에 대한 직접 제재는 미흡하다는 지적이 있었다.

신고 의무 위반시 과태료도 상향됐다. 침해사고 미신고 또는 지연 신고, 시정명령 불이행시 최대 5000만원 과태료가 부과된다. 기존에는 최대 3000만원이었다. 최근 잇단 통신사 해킹 사고에서 늑장 신고, 은폐 의혹이 불거지면서 실효성있는 제재가 필요하다는 지적 때문이다. 당초 일부 법안에서는 사고를 은폐할 경우 매출 3~5%를 과징금으로 부과하는 내용도 발의됐지만 최종 대안에서는 과태료 제재를 유지했다.

기업의 내부 보안 의무도 강화된다. 통신사는 보안 관리·대응 매뉴얼을 별도로 마련해 제출해야 한다. 과기정통부 장관은 이를 상시 점검하고 보완을 명령할 수 있다. 일정 규모 이상 기업에는 정보보호위원회 설치와 이사회 보고 의무가 부과돼 내부 통제 강도가 높아진다.

업계에서는 이번 개정안이 침해사고에 대한 감독기관의 권한 비대화가 경영 리스크를 과도하게 키울 수 있다고 우려하면서도 전반적인 제재 수위에 대해서는 공감하는 분위기다. 통신업계 관계자는 “반복 침해사고에 대한 실효성 있는 제재는 필요하다”면서 “다만 시행령을 통한 조사 기준과 절차, 범위 등을 명확히 할 필요가 있다”고 말했다.

박준호 기자 junho@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]